Cisco Response

• Microsoft kondigde vier veiligheidsbulletins aan die 11 kwetsbaarheden aanpakken als deel van het maandelijkse veiligheidsbulletin van 8 April, 2014. Een samenvatting van deze bulletins vindt u op de Microsoft-website op http://technet.microsoft.com/en-us/security/bulletin/ms14-apr. Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

  De kwetsbaarheden die een client software aanvalsvector hebben, kunnen lokaal op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, of kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing, en web-based e-mail bedreigingen) of e-mailbijlagen, en bestanden die zijn opgeslagen op netwerkaandelen zijn in de volgende lijst:

  • MS14-017
  • MS14-018
  • MS14-019.
  • MS14-020

  De kwetsbaarheden die een netwerkmatiging hebben zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor de kwetsbaarheden van een netwerkaanvalsvector, die later in dit document in detail wordt besproken.

  • MS14-017
  • MS14-019.
  • MS14-020

  Informatie over getroffen en onaangetaste producten is beschikbaar in de respectieve Microsoft Advisories en de Cisco Alerts die worden vermeld in Cisco Event Response: Microsoft Security Bulletin release voor april 2014.

  Daarnaast maken meerdere Cisco-producten gebruik van Microsoft-besturingssystemen als hun basisbesturingssysteem. Cisco-producten die kunnen worden beïnvloed door de kwetsbaarheden die in de Microsoft Advisories met referenties worden beschreven, worden gedetailleerd in de tabel "Bijbehorende producten" in de sectie "Productsets".

Kwetsbaarheid Kenmerken

• MS14-017, Vulnerabilities in Microsoft Word en Office Web Apps konden Remote Code Execution (2949660) toestaan: Deze kwetsbaarheden zijn toegewezen Common Vulnerabilities and Exposations (CVE) identificators CVE-2014-4252, CVE-2014-4253 en CVE-2014-3704. Deze kwetsbaarheden kunnen op afstand worden geëxploiteerd zonder verificatie en vereisen gebruikersinteractie. Een succesvolle benutting van deze kwetsbaarheden kan de uitvoering van willekeurige codes toestaan. De aanvalsvector voor de exploitatie van deze kwetsbaarheden is via HTTP- en HTTPS-pakketten die doorgaans TCP-poort 80 en 443 gebruiken, maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.

  MS14-019, Cumulative Security Update voor Internet Explorer (2950467): Deze kwetsbaarheden zijn toegewezen de Gemeenschappelijke Kwetsbaarheid en Blootstellingen (CVE) identificatoren CVE-2014-0235, CVE-2014-1751, CVE-2014-1752, CVE-2014-1753, CVE-2014-1755, en CVE-20 14-1760. Deze kwetsbaarheden kunnen op afstand worden geëxploiteerd zonder verificatie en vereisen gebruikersinteractie. Een succesvolle benutting van deze kwetsbaarheden kan de uitvoering van willekeurige codes toestaan. De aanvalsvector voor de exploitatie van deze kwetsbaarheden is via HTTP- en HTTPS-pakketten die doorgaans TCP-poort 80 en 443 gebruiken, maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.

  MS14-020, Vulnerability in Microsoft Publisher Kan de Uitvoering van de Code op afstand toestaan (2950145): Deze kwetsbaarheid is toegewezen de Vulnerabilities en Exposations (CVE) herkenningsteken CVE-2014-1759 van de Vulnerability en van de Blootstellingen (CVE). Deze kwetsbaarheden kunnen op afstand worden geëxploiteerd zonder verificatie en vereisen gebruikersinteractie. Een succesvolle benutting van deze kwetsbaarheden kan de uitvoering van willekeurige codes toestaan. De aanvalsvector voor de exploitatie van deze kwetsbaarheden is via HTTP- en HTTPS-pakketten die doorgaans TCP-poort 80 en 443 gebruiken, maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.

  De Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM), Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers, Cisco ACE Application Control Engine applicatie en module, Cisco Web and Email Security applicaties en Cisco Cloud Web Security security bieden bescherming voor potentiële pogingen om deze kwetsbaarheden te exploiteren (een onderwerp dat in dit document is opgenomen).

Overzicht van kwetsbaarheden

• Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in het Microsoft Security Bulletin Samenvatting voor april 2014, dat beschikbaar is op de volgende link: http://technet.microsoft.com/en-us/security/bulletin/ms14-apr

Overzicht Mitigation Technique

• De kwetsbaarheden die een de aanvalsvector hebben van de cliëntsoftware, kunnen plaatselijk op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing, en web-based e-mailbedreigingen) of e-mailbijlagen, en de dossiers die op netwerkaandelen worden opgeslagen zijn in de volgende lijst:

  • MS14-017
  • MS14-018
  • MS14-019.
  • MS14-020

  Deze kwetsbaarheden worden het meest succesvol op het eindpunt verzacht door software-updates, gebruikersonderwijs, best practices voor desktopbeheer en endpointbeveiligingssoftware zoals Host Inbraakpreventiesystemen (HIPS) of antivirusproducten.

  De kwetsbaarheden die een netwerkmatiging hebben zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.

  • MS14-017
  • MS14-019.
  • MS14-020

  Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met de volgende methoden:

  • Toepassingslaag voor protocolinspectie
  • URL-filtering
  • Firewallservices van de volgende generatie

  Deze beschermingsmechanismen filteren en laten vallen pakketten die proberen om de kwetsbaarheden te exploiteren die een vector van de netwerkaanval hebben.

  De Cisco ACE-applicatie en module voor Application Control Engine kunnen ook een effectieve bescherming bieden door gebruik te maken van toepassingsprotocolinspectie.

  Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren.

  Effectief gebruik van de gebeurtenissen van het Sourcefire Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren.

  Effectief gebruik van Cisco Web Security Applicatie kan bescherming bieden tegen de kwetsbaarheden van een aanvalsvector via het web.

  Effectief gebruik van Cisco Email Security Applicatie kan bescherming bieden tegen de kwetsbaarheden die een e-mailaanvalsvector hebben.

  Effectief gebruik van Cisco Cloud Web Security kan bescherming bieden tegen de kwetsbaarheden die een aanvalsvector over het web hebben.

Risicobeheer

• Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

• Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

  Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

  • Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
  • Cisco ACE
  • Cisco-inbraakpreventiesysteem
  • Cisco Sourcefire-gescande handtekeningen
  • Cisco Web- en e-mailbeveiliging
  • Cisco Cloud-webbeveiliging

  Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

  Beperking: Application Layer Protocol Inspectie

  Toepassingslaagprotocolinspectie is beschikbaar vanaf Cisco IOS-softwarerelease 7.2(1) voor de Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, IOS-softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA-servicesmodule en in IOS-softwarerelease 4.0(1) voor de Cisco Firewall Services module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast. Toepassingsinspectie inspecteert zowel IPv4- als IPv6-pakketten die op de klassekaart van het beleid zijn afgestemd.

  Aanvullende informatie over Application Layer Protocol inspection en het Modular Policy Framework (MPF) is in de sectie Getting Started with Application Layer Protocol Inspection van Boek 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.

  Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.

  HTTP-toepassingsinspectie
  Voor MS14-017 en MS14-020 kunnen beheerders via de HTTP-inspectieengine op de Cisco ASA 5500 en 5500-X Series adaptieve security applicaties, Cisco 6500 Series ASA-servicesmodules en Cisco Firewall Services Module reguliere expressies (regexes) configureren voor patroonmatching en kaarten van inspectieklasse en inspectiebeleidskaarten. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van HTTP-toepassingsinspectie gebruikt het Cisco Modular Policy Framework (MPF) om een beleid te maken voor inspectie van verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326. Dit zijn de standaardpoorten voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsinspectie van HTTP zal verbindingen laten vallen waar het HTTP- reactielichaam om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd.

  Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de hoofdtekst van een HTML-respons aan. Zorg ervoor dat legitieme bedrijfstoepassingen die bijpassende tekstkoorden gebruiken zonder de ActiveX-controle te bellen, niet worden beïnvloed. De extra informatie over syntaxis regex is in het Creëren van een Reguliere Expressie.

  Aanvullende informatie over ActiveX maakt gebruik van en beperkt de mogelijkheden van Cisco-firewalltechnologieën die beschikbaar zijn in het witboek Preventing ActiveX Exploits with Cisco Firewall Application Layer Inspection Cisco Security Intelligence Operations.

  ! !-- Configure regexes that look for either the !-- .rtf or the .pub file extensions that are !-- typically used to exploit the vulnerability !-- associated with MS14-017 and MS14-020 ! 
  regex MS14-017 ".+\x2e[Rr][Tt][Ff]"
  regex MS14-020 ".+\x2e[Pp][Uu][Bb]"
  ! !-- The "?" in the above regexes must be escaped with !-- [CTRL-v]. See Creating a Regular Expression for !-- details  
  ! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! 
  class-map type regex match-any MS14-regex_class
   match regex MS14-017
   match regex MS14-020
  ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 !
  object-group service WEBPORTS tcp
   port-object eq www 
   port-object eq 3128 
   port-object eq 8000 
   port-object eq 8010 
   port-object eq 8080 
   port-object eq 8888 
   port-object eq 24326 
  ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device !
  access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
  ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
  class-map Webports_Class
   match access-list Webports_ACL
  ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Apr_2014_policy
   parameters
  ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments. !  body-match-maximum 1380
   match response body regex class MS14-regex_class    
    drop-connection log  
  ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! 
  policy-map global_policy
   class Webports_Class
    inspect http MS_Apr_2014_policy  ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces !
  service-policy global_policy global

  Voor extra informatie over de configuratie en het gebruik van objectgroepen raadpleegt u de sectie Adding Global Objects in Boek 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.1.

  Aanvullende informatie over HTTP-toepassingsinspectie en de MPF is in de sectie HTTP-inspectie van Boek 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.

  Raadpleeg voor informatie over het gebruik van de Cisco Firewall Command Line Interface (CLI) om de effectiviteit van toepassingsinspectie te meten de Cisco Security Intelligence Operations White paper Identification of Security Exploits met Cisco ASA, Cisco ASM en Cisco FWSM Firewalls.

  Beperken: URL-filtering

  URL-filtering kan worden toegepast op de ASA door gebruik te maken van Websense Enterprise Secure Computing SmartFilter Server (voorheen N2H2) internetfiltreerproducten. Wanneer URL-filtering is ingeschakeld, dwingt ASA alleen de filterbeleidsbeslissingen af die voor HTTP, HTTPS en FTP worden genomen door de productconfiguraties van internetfiltering.

  Met name voor HTTPS-inhoud verstuurt de ASA de URL-lookup zonder directory- en filename-informatie. Wanneer de filtreerserver een HTTPS-verbindingsverzoek goedkeurt, staat ASA de voltooiing van SSL-verbindingsonderhandeling toe en staat de reactie van de webserver toe om de oorspronkelijke client te bereiken. Als de filtreerserver het verzoek ontkent, verhindert ASA de voltooiing van SSL-verbindingsonderhandeling. De browser geeft een foutmelding weer zoals De pagina of de inhoud kan niet worden weergegeven.

  URL-filtering is geconfigureerd met url-server en globale CLI-opdrachten voor filters.

  URL-filtering kan worden gebruikt om de kwetsbaarheden te verminderen die in dit document worden beschreven door HTTP- of HTTPS-verzoeken te filteren die .rtf of .pub in hun URI-veld bevatten.

  Raadpleeg de Filterende HTTPS-URL’s van de Cisco ASA-configuratiehandleiding en hoe u URL-filtering kunt configureren in de Cisco-ondersteuningscommunity.

  Beperken: firewallservices van de volgende generatie

  Opstarten in Cisco ASA softwarerelease 8.4(5) voor Cisco ASA 5585-X met ASA CX SP-10 en -20; Cisco ASA softwarerelease 9.1 voor Cisco ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X en ASA 555-X; en Cisco ASA softwarerelease 9.1(3) voor Cisco ASA 585-X met ASA CX SSP-40 en ASA-60, Cisco ASA 55-X Generation Firewall (NGFW)-services stellen een beheerder in staat om beleid te monitoren of af te dwingen op basis van de identiteit van de gebruiker (wie), de toepassing of website waartoe de gebruiker toegang probeert te krijgen (wat), de oorsprong van de toegangspoging (waar), het tijdstip van de poging tot toegang (wanneer) en de eigenschappen van het apparaat dat wordt gebruikt voor de toegang (hoe).

  De NGFW-services worden uitgevoerd in een afzonderlijke hardwaremodule (SSP voor ASA 5585-X) of softwaremodule (ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X). De ASA stuurt verkeer (met behulp van MPF-beleid) door naar de NGFW-module, die beleid controleert en/of afdwingt zoals geconfigureerd. NGFW-beleid kan worden geconfigureerd met de Cisco Prime Security Manager (PRSM) GUI in de modus voor één of meerdere apparaten. Een verscheidenheid aan toepassingen kan worden herkend en geactiveerd als deel van de Application Visibility and Control (AVC)-service op NGFW. De herkenning van toepassingen wordt voortdurend bijgewerkt met behulp van handtekeningen- en motorupdates. Op dezelfde manier kan de Web Security Essentials (WSE) service webfuncties en verzoeken inspecteren en erop reageren. Ook kan webreputatiebeleid worden gebruikt om verkeer te filteren op basis van de reputatie van de bezochte bestemmingen.

  Cisco NGFW kan worden gebruikt om MS14-017, MS14-019 en MS14-020 te beperken door het volgende te filteren:

  • URL-bestemmingen met een lage reputatie
  • bestanden met bestandstypen .rtf of .pub

  Het beleid voor bewaking en filtering (AVC en WSE) kan ook worden toegepast op het versleutelde TLS-verkeer.

  Zie ASA NGFW Services Application Portal voor meer informatie over ondersteunde toepassingen. Raadpleeg het gedeelte ASA CX-module configureren in de Cisco ASA-configuratiehandleiding voor meer informatie over het configureren van de ASA. Zie Gebruikershandleiding voor ASA CX en Cisco Prime Security Manager voor meer informatie over het configureren van de ASA CX.

  Cisco ACE

  Beperken: Application Protocol Inspection

  Application Protocol inspection is beschikbaar voor de Cisco ACE-applicatie en module voor Application Control Engine. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat het Cisco ACE-apparaat doorvoert. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en de kaarten van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast.

  Aanvullende informatie over inspectie van toepassingsprotocollen is te vinden in de sectie Configuration Application Protocol Inspection van Security Guide vA5(1.0), Cisco ACE Application Control Engine.

  HTTP-pakketcontrole voor diep gebruik

  Om HTTP diepe pakketinspectie voor MS14-017 en MS14-020 uit te voeren, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en inspectieklasse kaarten en inspectiemeldaarten samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van de inspectie van het toepassingsprotocol van HTTP inspecteert verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326, die de standaardpoorten zijn voor de variabele Cisco IPS #WEBPORTS.

  Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de inhoud van een HTML-pakket aan elkaar koppelen. Er dient voor te worden gezorgd dat legitieme zakelijke toepassingen die bijpassende tekststrings gebruiken, niet worden beïnvloed.

   ! !-- Configure an HTTP application inspection class that looks !-- for HTTP packets that contain either of the .rtf or !-- .pub file extensions that are typically used to exploit !-- the vulnerabilities associated with MS14-017 and MS14-020 ! 
  class-map type http inspect match-any MS14_class
    2 match content ".*.+\x2e[Rr][Tt][Ff].*"
    3 match content ".*.+\x2e[Pp][Uu][Bb].*" 
  ! !-- The "?" in the above regexes must be escaped with !-- [CTRL-v].   
  ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above !
  policy-map type inspect http all-match MS_Apr_2014
    class MS14_class
      reset log  
  ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device !
  access-list WEBPORTS line 8 extended permit tcp any any eq www 
  access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
  access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
  access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
  access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
  access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
  access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
  ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
  class-map match-all L4_http_class
    match access-list WEBPORTS
  ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable !
  policy-map multi-match L4_MS_Apr_2014
    class L4_http_class
      inspect http policy MS_Apr_2014  
  ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Apr_2014

  Raadpleeg voor informatie over het gebruik van de ACE-CLI om de effectiviteit van toepassingsinspectie te meten de Cisco Security Intelligence Operations-white paper Identification of Malicious Traffic met Cisco ACE.

  Cisco-inbraakpreventiesysteem

  Beperken: acties voor Cisco IPS-handtekeningen

  Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om verschillende van de kwetsbaarheden te exploiteren die in dit document worden beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve Cisco IPS-handtekeningen die gebeurtenissen op potentiële pogingen om deze kwetsbaarheden te exploiteren zullen activeren.

  CVE-id	Handtekeningrelease	Handtekening-ID	Handtekeningnaam	Ingeschakeld	Ernst	Fidelity*
  CVE-2014-1761	S780	1709/0	Microsoft Office Word RTF-documentverwerking willekeurige codeuitvoering kwetsbaarheid	Ja	Hoog	85
  CVE-2014-1751	S784	4109/0	Microsoft Internet Explorer Remote Code uitvoeren	Ja	Hoog	85
  CVE-2014-1752	S784	4108/0	Microsoft Internet Explorer gebruiken na gratis	Ja	Hoog	85
  CVE-2014-1753	S784	4136/0	Microsoft Internet Explorer gebruiken na gratis	Ja	Hoog	85
  CVE-2014-1755	S784	4137/0	Microsoft Internet Explorer Memory Corruptie Kwetsbaarheid	Ja	Hoog	85

  * Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.

  Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in de vorige tabel zijn vermeld.

  Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert de kwetsbaarheden te exploiteren die in dit document worden beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.

  Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.

  Zie Identificatie van kwaadaardig verkeer met Cisco Security Manager voor informatie over het gebruik van Cisco Security Manager om de activiteit van een Cisco IPS-sensor te bekijken.

  Informatie over Sourcefire-handtekeningen

  De volgende Sourcefire Snort handtekeningen zijn beschikbaar voor de Microsoft April 2014 Security Update.

  Microsoft Bulletin-id	Toepasselijke regels
  MS14-017	1:24974
  MS14-017	1:24975
  MS14-018	1:30497
  MS14-018	1:30498
  MS14-018	1:30499
  MS14-018	1:30500
  MS14-018	1:30501
  MS14-018	1:30502
  MS14-020	1:30508
  MS14-020	1:30509

  Cisco Web- en e-mailbeveiliging

  Beperken: Web security

  Cisco Web Security Appliances (WSA) kunnen bedrijfsnetwerken filteren en beschermen tegen webgebaseerde malware en spyware-programma's die de bedrijfsbeveiliging in gevaar kunnen brengen en intellectuele eigendom kunnen blootstellen. Ze opereren als een proxy en kunnen gebruikers- en groepsbeleid bieden dat bepaalde URL-categorieën, web content, web applicatie zichtbaarheid en controle (AVC), websites gebaseerd op web reputatie, en malware filteren. De WSA kan ook geïnfecteerde clients detecteren en voorkomen dat kwaadaardige activiteiten buiten het bedrijfsnetwerk gaan met behulp van de L4 Traffic Monitor (L4TM). Het beleid kan worden geconfigureerd met een web GUI. Een CLI kan ook worden gebruikt. De WSA bevat bescherming voor standaard communicatieprotocollen, zoals HTTP, HTTPS, FTP en SOCKS.

  Om met netwerkapparaten zoals routers en firewalls te werken, gebruikt de WSA Web Cache Communication Protocol (WCCP). Met WCCP worden inhoudsverzoeken op transparante wijze doorgestuurd naar de WSA, die handelt op basis van zijn configuratie. Gebruikers hoeven geen web-proxy in hun browsers te configureren. In Cisco IOS wordt WCCP ingeschakeld met de ip wcp-opdrachten en in Cisco ASA met de wcp-opdrachten.

  Cisco WSA kan worden gebruikt om MS14-017, MS14-019 en MS14-020 te verminderen door webverkeer te filteren op basis van het volgende:

  • URL-bestemmingen met een lage reputatie
  • Bestandstypen .rtf of .pub
  • .rtf of .pub kwaadaardige bestanden

  Raadpleeg het ASA: WCCP-document met stapsgewijze configuratie in de Cisco-ondersteuningscommunity en de Cisco AsyncOS Web User Guide (PDF) voor meer informatie.

  Beperken: e-mail security

  Cisco Email Security applicaties (ESA) elimineren e-mail spam en virussen, handhaven het bedrijfsbeleid en beveiligen de netwerkperimeter. Ze opereren als een SMTP-gateway, ook wel bekend als een e-mailwisselaar of MX. Ze kunnen uitbraken van virussen, spam en phishing filteren. Ze bieden ook e-mailencryptie, berichtfiltering, anti-spam diensten, antivirus diensten en nog veel meer.

  Cisco ESA kan worden gebruikt om MS14-017 en MS14-020 te beperken door berichten te filteren op basis van een bijlagetype van .rtf of .pub.

  Filteracties maken het mogelijk om berichten te laten vallen, bounced, archiveren, blind carbon gekopieerd of gewijzigd.

  Filters kunnen ook meldingen genereren.

  Raadpleeg de configuratiehandleiding voor Cisco AsyncOS e-mail (PDF) voor meer informatie.

  Cisco Cloud-webbeveiliging

  Beperken: Cloud Web Security

  Cisco Cloud Web Security (CWS) analyseert elk webverzoek en elke reactie om te bepalen of inhoud kwaadaardig, ongepast of acceptabel is op basis van het gedefinieerde beveiligingsbeleid. Dit biedt een effectieve bescherming tegen bedreigingen, inclusief bedreigingen van nul dagen die anders succesvol zouden zijn. Cisco CWS kan gebruikers- en groepsbeleid bieden dat bepaalde URL-categorieën, webcontent, bestanden en bestandstypen, webtoepassingen (AVC), websites op basis van webreputatie en malware filtert. Het kan zowel HTTP- als HTTPS-verkeer controleren.

  Vanaf Cisco IOS 15.2MT op ISR-G2 routers en Cisco ASA softwarerelease 9.0 kan Cisco CWS transparant integreren met Cisco IOS en Cisco ASA. Daarnaast kunnen CWS, beginnend met AnyConnect 3.0, worden geïmplementeerd met de AnyConnect-client. CWS kan ook op eindhosts worden geïmplementeerd als een Cisco Cloud Connector-toepassing.

  Cisco CWS kan worden gebruikt om MS14-017, MS14-019 en MS14-020 te beperken door webverkeer te filteren op basis van het volgende:

  • URL-bestemmingen met een lage reputatie
  • Bestandstypen .rtf en .pub
  • .rtf of .pub kwaadaardige bestanden

  Zie ASA: ScanSafe, stapsgewijze configuratie en IOS: ScanSafe stapsgewijze configuratie documenten in de Cisco-ondersteuningscommunity. Zie Cisco Cloud Web Security en de sectie Configuration Cisco Cloud Web Security in de Cisco ASA-configuratiehandleiding voor meer informatie over de configuratie van Cisco IOS en ASA. Raadpleeg de Cisco ScanCenter Administrator Guide voor meer informatie over het CWS-portal.

Aanvullende informatie

• DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Revisiegeschiedenis

• Versie	Beschrijving	doorsnede	Datum
  1	Eerste vrijgave		2014-april-08 17:17 GMT

  Minder tonen

Cisco-beveiligingsprocedures

• Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.

Gerelateerde informatie

• • Samenvatting van Microsoft Security Bulletin voor april 2014
  • Cisco-bulletins voor toegepaste beperking
  • Cisco-beveiligingsintelligentie
  • Cisco-handleiding over het versterken van Cisco IOS-apparaten
  • Witboeken voor Cisco Network Foundation-bescherming
  • Presentaties voor Cisco Network Foundation-bescherming
  • Een security georiënteerde benadering van IP-adressering
  • Cisco Firewallproducten - startpagina op Cisco.com
  • Cisco Catalyst 6500 Series ASA servicesmodule
  • Cisco 5500-X Series-switches
  • Cisco ASA 5545-CX
  • Cisco ACE-documentatie voor Application Control Engine
  • Cisco-inbraakpreventiesysteem
  • Cisco-downloads voor IPS-handtekeningen
  • Cisco-zoekpagina voor IPS-handtekeningen
  • Sourcefire security van de volgende generatie
  • Sourcefire IPS-gescande regels
  • Cisco Security Manager
  • Cisco Web Security applicatie (PDF)
  • Cisco e-mail security applicatie (PDF)
  • Cisco Cloud Web Security Guide
  • Gemeenschappelijke kwetsbaarheden en blootstellingen (CVE)
  • Abonneren op Cisco-meldingen van toegepaste beperking

Betrokken producten

• De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
  
  

  Primaire producten
  Microsoft, Inc.	Internet Explorer	6,0 (basis) | 7,0 (basis) | 8,0 (basis) | 9,0 (basis) | 11,0 (basis)
  	Microsoft Office Publisher	2003 (SP3) | 2007 (SP3)
  	Kantoor	2007 (SP3) | 2010 (SP1, SP2)
  	Office-compatibiliteitspakket	SP3 (basis)
  	Office voor Mac	2011 (basis)
  	Windows 7	voor 32-bits systemen (SP1) | voor op x64 gebaseerde systemen (SP1)
  	Windows 8	voor 32-bits systemen (Base) | voor op x64 gebaseerde systemen (Base)
  	Windows 8.1	voor 32-bits systemen (Base) | voor op x64 gebaseerde systemen (Base)
  	Windows RT	Oorspronkelijke release (basis) | 8.1 (Basis)
  	Windows Server 2003	Datacenter Edition (SP2) | Datacenter Edition, 64-bits (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2)
  	Windows Server 2008	Datacenter Edition (SP2) | Datacenter Edition, 64-bits (SP2) | Itanium-gebaseerde Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-bits (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (SP2) | Webserver (SP2) | Webserver, 64-bits (SP2)
  	Windows Server 2008 R2	x64-gebaseerde Systems Edition (SP1) | Itanium-gebaseerde Systems Edition (SP1)
  	Windows Server 2012	Oorspronkelijke release (basis)
  	Windows Server 2012 R2	Oorspronkelijke release (basis)
  	Windows Vista	Home Basic (SP2) | Home Premium (SP2) | Bedrijfsleven (SP2) | Ondernemingen (SP2) | Uiteindelijk (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultieme x64-editie (SP2)
  	Woord	2003 (basis, SP1, SP2, SP3) | 2007 (Base, SP1, SP2, SP3) | 2010 (32-bits versie, 64-bits versie, SP1, SP2) | 2013 (Base, RT, 32-bits edities, 64-bits edities)
  	Word-viewer	Oorspronkelijke release (basis)
  	Office Web Apps	2010 (basis, SP1, SP2) | 2013 (basis)

  
  
  

  Verwante producten
  Microsoft, Inc.	Kantoor	2003 (basis, SP1, SP2, SP3) | 2007 (Base, SP1, SP2) | 2010 (basis) | 2013 (32-bits, 64-bits edities) | 2013 RT (basis)
  	Windows 7	voor 32-bits systemen | voor op x64 gebaseerde systemen
  	Windows 8.1	voor 32-bits systemen | voor op x64 gebaseerde systemen
  	Windows RT	8.1
  	Windows Server 2003	Datacenter Edition | Datacenter Edition, 64-bits (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-bits (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standaarduitgave | Standard Edition, 64-bits (Itanium) | Standard Edition x64 (AMD/EM64T) | Webex Edition
  	Windows Server 2008	Datacenter Edition | Datacenter Edition, 64-bits | Itanium-gebaseerde systeemeditie | Enterprise Edition | Enterprise Edition, 64-bits | Essential Business Server-standaard | Essential Business Server Premium | Essential Business Server Premium, 64-bits | Standaarduitgave | Standard Edition, 64-bits | Webserver | Webserver, 64-bits
  	Windows Server 2008 R2	x64-gebaseerde Systems Edition | Itanium-gebaseerde systeemeditie
  	Windows Server 2012 R2	Oorspronkelijke release
  	Windows Vista	Home Basic | Home Premium | Bedrijfsactiviteiten | Ondernemingen | Uiteindelijk | Home Basic x64 Edition | Home Premium x64 Edition | Business x64 Edition | Enterprise x64 Edition | Ultieme x64-editie